a) Een AED (die niet onder het toezicht van de Nationale Bank van België “NBB” staat) moet alle incidenten melden die gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit (*) van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële dienst of diensten afhankelijk zijn.

Volgens art. 24, § 1, van de NIS-wet moeten alle incidenten die aanzienlijke gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de door de aanbieder verleende essentiële dienst of diensten afhankelijk zijn, onverwijld worden gemeld. Art. 24, § 3, bepaalt echter dat, indien geen weerslagniveaus en/of drempelwaarden als bedoeld in paragraaf 2 zijn bepaald, de aanbieder alle incidenten meldt die gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële dienst of diensten afhankelijk zijn.

(*) zie definities vraag "NIS Veiligheidsmaatregelen".

De NIS-wet voorziet in de mogelijkheid om, bij koninklijk besluit, weerslagniveaus en/of drempelwaarden voor de melding van incidenten te bepalen, of nog, verschillende meldingscategorieën volgens de mate van impact van het incident. Tot nu toe werden echter nog geen dergelijke koninklijke besluiten aangenomen.

b) Een AED die onder het toezicht van de NBB staat, meldt alle incidenten die aanzienlijke gevolgen hebben voor de beschikbaarheid, vertrouwelijkheid, integriteit of authenticiteit van de netwerk- en informatiesystemen waarvan de door hem verleende essentiële dienst of diensten afhankelijk zijn.

De NBB is ermee belast deze aanzienlijke gevolgen te bepalen.

Een incident is elke gebeurtenis met een reële negatieve impact op de beveiliging van netwerk- en informatiesystemen.

De beveiliging van netwerk- en informatiesystemen is het vermogen van netwerk- en informatiesystemen om met een bepaalde mate van betrouwbaarheid bestand te zijn tegen acties die de beschikbaarheid, authenticiteit, integriteit of vertrouwelijkheid van de opgeslagen, verzonden of verwerkte gegevens of de daaraan gerelateerde diensten die via die netwerk- en informatiesystemen worden aangeboden of toegankelijk zijn, in gevaar brengen.

De AED moet het incident onverwijld melden, dat wil zeggen zo vlug mogelijk.

De AED moet niet wachten tot hij over alle relevante informatie over een incident beschikt om het te melden. Zodra de AED over de informatie beschikt die nodig is om de gevolgen van het incident volledig of gedeeltelijk te beoordelen, moet hij het melden.

a) De AED (die niet onder het toezicht van de NBB staat) moet het incident tegelijk aan drie overheden melden:

• het Centrum voor Cybersecurity België (CCB);
• het Nationaal Crisiscentrum (NCCN);
• de sectorale overheid en/of haar sectorale CSIRT.

In de praktijk gebeurt deze gelijktijdige melding in één stap via het NIS-meldingsplatform.

b) De AED die onder het toezicht van de NBB staat, moet het incident enkel melden aan de NBB, volgens de door die laatste vastgestelde modaliteiten.

Indien de NBB de AED verplicht om het meldingsplatform te gebruiken, wordt het incident ook tegelijk aan het CCB en het NCCN gemeld. Indien de NBB het gebruik van het meldingsplatform niet oplegt, bezorgt zij de melding zelf onverwijld aan het CCB en het NCCN.

Deze uitzondering vloeit voort uit het feit dat sommige financiële instellingen al onderworpen zijn aan sectorale meldingsverplichtingen op Europees niveau tegenover de Europese Centrale Bank.

Een AED (die niet onder het toezicht van de NBB staat) moet het incident melden via het NIS-meldingsplatform: https://nis-incident.be/nl/.

Het platform is toegankelijk via internet door middel van een beveiligde verbinding en een voor elke AED unieke identificatiesleutel (login/gebruikersnaam en wachtwoord).

Indien het NIS-meldingsplatform niet beschikbaar is, moet de AED het incident melden volgens de modaliteiten vermeld op de website van het Centrum voor Cybersecurity België: (https://cert.be/nl/een-incident-melden-form).

Meer informatie over de melding van een incident vindt u in de Gids voor de melding door AED’s op de website van het CCB.

De AED moet het formulier voor het melden van incidenten gebruiken dat door het CCB ter beschikking wordt gesteld op het NIS-meldingsplatform: https://nis-incident.be.

Het meldingsformulier omvat alle beschikbare informatie die toelaat de aard, de oorzaken, de effecten en de gevolgen van het incident te bepalen:

1. de naam en contactgegevens van de aanbieder en de door hem verleende dienst;
2. de datum en het tijdstip waarop het incident plaatsvond;
3. de duur van het incident;
4. de omvang van het geografische gebied dat door het incident is getroffen en de eventuele grensoverschrijdende aard ervan;
5. het aantal getroffen gebruikers;
6. informatie over de aard van het incident;
7. de omvang van de gevolgen van het incident, met name voor maatschappelijke en economische activiteiten;
8. het belang van de systemen of van de betrokken informatie;
9. de gevolgen van het incident voor in België gevestigde internationale organisaties;
10. de ondernomen acties;
11. de beschrijving van de huidige situatie.

De AED en zijn onderaannemers beperken de toegang tot de informatie over incidenten, in de zin van de NIS-wet, tot de personen die deze informatie nodig hebben en er toegang toe moeten hebben voor de uitoefening van hun functie of opdracht die verband houdt met de NIS-wet.

Deze regel geldt ook voor het CCB (nationaal CSIRT), het NCCN, de sectorale overheid en het eventuele sectorale CSIRT.

De personeelsleden van de AED en zijn onderaannemers zijn gebonden aan het beroepsgeheim wat de informatie over een NIS-incident betreft.

De informatie die een AED aan het CCB, het NCCN en de sectorale overheid bezorgt, mag worden uitgewisseld met autoriteiten van andere lidstaten van de Europese Unie en met andere Belgische autoriteiten, wanneer die uitwisseling noodzakelijk is voor de toepassing van wettelijke bepalingen.

Deze informatieoverdracht wordt evenwel beperkt tot hetgeen relevant is voor en evenredig is met het doel van die uitwisseling, met inachtneming van Verordening EU 2016/679, de vertrouwelijkheid van de betrokken informatie, alsook van de veiligheid en de commerciële belangen van de AED.

De meldingsprocedure kan verschillende fasen omvatten:

1. De initiële melding moet onverwijld plaatsvinden, zelfs indien de AED nog niet over alle relevante informatie beschikt. Doel van deze initiële melding is het CCB, de sectorale overheid of haar sectorale CSIRT, en het NCCN te wijzen op het incident en de mogelijke gevolgen ervan.

1. Bijkomende meldingen moeten regelmatig worden verstuurd of zodra de AED over nieuwe informatie beschikt. Doel van deze bijkomende meldingen is het CCB, de sectorale overheid of haar sectorale CSIRT, en het NCCN op de hoogte te houden van de status van het incident. De AED doet dan een nieuwe melding op het platform, waarbij hij enkel de nieuwe gegevens en het referentienummer van de initiële melding vermeldt.

1. Een eventueel eindverslag (op verzoek van een van de voornoemde overheden) met alle informatie die naar het CCB, de sectorale overheid of haar sectorale CSIRT, en het NCCN is gestuurd. Doel van dit eindverslag is een overzicht te geven van het incident en er conclusies uit te trekken.

De AED moet het CCB en de sectorale overheid, of in voorkomend geval het sectorale CSIRT, op de hoogte houden van de evolutie van het incident en de ondernomen remediërende acties.

Wanneer de AED niet alle in het formulier gevraagde informatie kan verstrekken met behulp van de gegevens waarover hij beschikt, vult hij de initiële melding via het meldingsplatform aan zodra de ontbrekende informatie beschikbaar is.

Hij doet dit eveneens in geval van nieuwe informatie of belangrijke ontwikkelingen.

Op verzoek van het CCB, het NCCN, de sectorale overheid of haar sectorale CSIRT meldt de AED via het meldingsplatform een actualisering van het meldingsformulier (“eindverslag”) waarin hij de behandeling van het incident beschrijft vanaf het ontdekken tot het afsluiten ervan en alle informatie van het meldingsformulier overneemt.

Bijkomende meldingen (bedoeld in artikel 8, § 3, van het NIS-KB) door een AED in geval van nieuwe informatie of belangrijke ontwikkelingen betreffende het incident verlopen via het meldingsplatform.

De AED die getroffen is door een incident, is verplicht het incident aan te pakken en reactieve maatregelen te nemen om het op te lossen. Hij blijft verantwoordelijk voor de aanpak van het incident.

De AED moet incidenten of verdachte gebeurtenissen onderzoeken die hem door het CCB, de sectorale overheid of het NCCN worden gemeld.

Het CCB, de sectorale overheid of haar sectorale CSIRT, en het NCCN kunnen de AED bijkomende informatie vragen over diens meldingen.

AED’s die onder het toezicht van de NBB staan, behandelen het incident rekening houdend met de wettelijke bepalingen en voorschriften die op hen toepasselijk zijn gemaakt door de NBB en/of de Europese Centrale Bank.

Wanneer de omstandigheden dit toelaten, verstrekt het CCB de AED die de melding heeft ingediend, alle informatie die nuttig is voor de opvolging van diens melding, en, in voorkomend geval, alle informatie die kan bijdragen tot een doeltreffende behandeling van het incident.

Naargelang de ingevoerde informatie wordt de AED met een standaardbericht ingelicht over zijn verplichting om eventuele inbreuken in verband met persoonsgegevens te melden aan een van de “toezichthoudende autoriteiten” met behulp van de geschikte meldingstools (bijvoorbeeld: https://www.gegevensbeschermingsautoriteit.be/professioneel/acties/datalek-van-persoonsgegevens).
 

De AED moet de gegevens (met inbegrip van de persoonsgegevens) niet langer bewaren dan nodig is voor de doeleinden van de wet, met een maximale bewaartermijn die de duur van de verjaringstermijn van eventuele inbreuken bedoeld in de artikelen 51, § 1, en 52, § 2, van de NIS-wet niet mag overschrijden.

“Potentiële aanbieders van essentiële diensten” (publieke of private entiteiten die in België actief zijn in een van de sectoren opgenomen in bijlage I bij de NIS-wet: Energie, Vervoer, Financiën, Gezondheidszorg, Drinkwater en Digitale infrastructuren, maar niet zijn aangewezen als AED’s) mogen op vrijwillige basis incidenten melden die aanzienlijke gevolgen hebben voor de continuïteit van de door hen verleende diensten.

Bijv.: een nieuwe aanbieder die actief is in een van de sectoren opgenomen in bijlage I bij de NIS-wet en die nog niet is aangewezen als AED, of een aanbieder die actief is in een van deze sectoren maar die zich onder de door de sectorale overheid bepaalde drempelwaarden of weerslagniveaus voor de aanwijzing bevindt.

Deze vrijwillige melding mag er niet toe leiden dat de meldende entiteit verplichtingen worden opgelegd waaraan zij niet onderworpen zou zijn als zij die melding niet had gedaan.

Bij de behandeling van meldingen mogen het CCB, de sectorale overheid of haar sectorale CSIRT, en het NCCN de door de NIS-wet opgelegde verplichte meldingen prioritair verwerken ten opzichte van vrijwillige meldingen.

Vrijwillige meldingen worden enkel verwerkt wanneer die verwerking geen onevenredige of overmatige belasting vormt voor voornoemde overheden.